Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille
de sécurité dans un logiciel ou un matériel.
Il recherche sur les sites et forums des articles rapportant cette
faille et devant le résultat négatif constate qu'il en est "l'inventeur".
Quelles sont ses responsabilités vis à vis:
- du concepteur/fabricant du logiciel/matériel.
- des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux
autres utilisateurs ?
Doit-il publier malgré les tords causés au fabricant ?
Le fabricant peut-il se retourner contre lui pour ces tords ?
Au bout de combien de temps après qu'il a contacté le fabricant doit-il
rendre la faille publique sachant les tords causés
- au fabriquant
- aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en
expérience...
Il me reste aussi à définir le "rapidement" : trois jours, une semaine, plus ? pour un correctif qui -à priori- concerne la configuration d'un serveur, je dirais que 4 jours sont déja pas mal.
http://www.cert.org/kb/vul_disclosure.html
Ils publient au plus tard 45 jours après avoir eu connaissance de la vulnérabilité, même en l'absence de patch.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Re,
On 23 Oct 2004 14:38:34 GMT, Thierry F. <fronde@wanadoo.fr> wrote:
Il me reste aussi à définir le "rapidement" : trois jours, une semaine,
plus ? pour un correctif qui -à priori- concerne la configuration d'un
serveur, je dirais que 4 jours sont déja pas mal.
http://www.cert.org/kb/vul_disclosure.html
Ils publient au plus tard 45 jours après avoir eu connaissance de la
vulnérabilité, même en l'absence de patch.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Il me reste aussi à définir le "rapidement" : trois jours, une semaine, plus ? pour un correctif qui -à priori- concerne la configuration d'un serveur, je dirais que 4 jours sont déja pas mal.
http://www.cert.org/kb/vul_disclosure.html
Ils publient au plus tard 45 jours après avoir eu connaissance de la vulnérabilité, même en l'absence de patch.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Pierre A
Thierry F. wrote:
Bonjour.
Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille de sécurité dans un logiciel ou un matériel. Il recherche sur les sites et forums des articles rapportant cette faille et devant le résultat négatif constate qu'il en est "l'inventeur". Quelles sont ses responsabilités vis à vis: - du concepteur/fabricant du logiciel/matériel. - des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux autres utilisateurs ? Doit-il publier malgré les tords causés au fabricant ? Le fabricant peut-il se retourner contre lui pour ces tords ? Au bout de combien de temps après qu'il a contacté le fabricant doit-il rendre la faille publique sachant les tords causés - au fabriquant - aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en expérience...
Merci.
Si c'est un logiciel libre, tu es encouragé à la rendre public au plus tôt. l'idéal étant de demander aux développeurs de le faire pour toi, puisqu'ils fourniront une solution temporaire au problème (même si c'est éteignez votre serveur) en attendant la nouvelle version.
-- Pierre AUSSAGUEL ACHROME photographies : http://achrome.fr.vu/
"Linux, cause rebooting is for adding new hardware"
Thierry F. wrote:
Bonjour.
Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille
de sécurité dans un logiciel ou un matériel.
Il recherche sur les sites et forums des articles rapportant cette
faille et devant le résultat négatif constate qu'il en est "l'inventeur".
Quelles sont ses responsabilités vis à vis:
- du concepteur/fabricant du logiciel/matériel.
- des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux
autres utilisateurs ?
Doit-il publier malgré les tords causés au fabricant ?
Le fabricant peut-il se retourner contre lui pour ces tords ?
Au bout de combien de temps après qu'il a contacté le fabricant doit-il
rendre la faille publique sachant les tords causés
- au fabriquant
- aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en
expérience...
Merci.
Si c'est un logiciel libre, tu es encouragé à la rendre public au plus
tôt. l'idéal étant de demander aux développeurs de le faire pour toi,
puisqu'ils fourniront une solution temporaire au problème (même si c'est
éteignez votre serveur) en attendant la nouvelle version.
--
Pierre AUSSAGUEL
ACHROME photographies : http://achrome.fr.vu/
"Linux, cause rebooting is for adding new hardware"
Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille de sécurité dans un logiciel ou un matériel. Il recherche sur les sites et forums des articles rapportant cette faille et devant le résultat négatif constate qu'il en est "l'inventeur". Quelles sont ses responsabilités vis à vis: - du concepteur/fabricant du logiciel/matériel. - des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux autres utilisateurs ? Doit-il publier malgré les tords causés au fabricant ? Le fabricant peut-il se retourner contre lui pour ces tords ? Au bout de combien de temps après qu'il a contacté le fabricant doit-il rendre la faille publique sachant les tords causés - au fabriquant - aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en expérience...
Merci.
Si c'est un logiciel libre, tu es encouragé à la rendre public au plus tôt. l'idéal étant de demander aux développeurs de le faire pour toi, puisqu'ils fourniront une solution temporaire au problème (même si c'est éteignez votre serveur) en attendant la nouvelle version.
-- Pierre AUSSAGUEL ACHROME photographies : http://achrome.fr.vu/
"Linux, cause rebooting is for adding new hardware"
Nicob
On Sat, 23 Oct 2004 14:38:34 +0000, Thierry F. wrote:
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au courant de la faille (telephone hotline + email).(4 jours).
Bon, ben ça fait au moins une piste en moins à creuser :(
D'ailleurs je m'interroge sur la confiance à accorder à une hotline délocalisée, dans un soucis d'économie sans doute, vis à vis d'informations sensibles (Bon, après tout, si le vendeur fait confiance...).
Dans l'idéal, si on veut passer en direct auprès du vendeur/éditeur, il vaut mieux y contacter (dans l'ordre) :
- quelqu'un que l'on connait personnellement - quelqu'un qui y est actif dans le monde de la sécurité - les contacts standard () - le support technique - le service commercial
Dans les deux premiers cas (voire le troisième), on peut espérer être bien reçu et ne pas se faire ignorer ou bouler avec menace de procès/blablabla à la clé.
La question qui se pose est le choix, dans le cas ou un patch n'est pas publié rapidement, de dévoiler ou pas la faille
Le choix me semble dificile à trancher.
Il me reste aussi à définir le "rapidement"
:)
Bienvenue dans le formidable problème de la divulgation de vulnérabilités. Entre le schéma de divulgation que l'on estime personnellement idéal, les contraintes liées aux engagements contractuels, les menaces sur sa petite privée (qui veut se taper un procès pour avoir sorti une faille ?), les choix sont parfois difficiles.
Toutefois, pas mal de monde a déjà réfléchi au problème (tu trouveras une littérature conséquente via Google). Grosso modo, la version de R.F.P est un bon consensus, même si les délais relatifs à à la réalisation du patch peuvent être considérés comme faibles :
http://www.wiretrip.net/rfp/policy.html
D'autre part, une autre question m'interroge : quelle serait la valeur d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans doute nulle
Je ne pense pas. Il faut voir les détails de la faille, mais il est tout à fait possible d'indiquer une faille sans donner trop de détails, afin de réveiller l'éditeur et de le forcer à réagir. Mais bon, là, c'est du cas par cas. Sinon, tu peux toujours t'appuyer sur les CERTA/CERT-IST.
Très bonne chance ...
Nicob
On Sat, 23 Oct 2004 14:38:34 +0000, Thierry F. wrote:
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au
courant de la faille (telephone hotline + email).(4 jours).
Bon, ben ça fait au moins une piste en moins à creuser :(
D'ailleurs je m'interroge sur la confiance à accorder à une hotline
délocalisée, dans un soucis d'économie sans doute, vis à vis
d'informations sensibles (Bon, après tout, si le vendeur fait confiance...).
Dans l'idéal, si on veut passer en direct auprès du
vendeur/éditeur, il vaut mieux y contacter (dans l'ordre) :
- quelqu'un que l'on connait personnellement
- quelqu'un qui y est actif dans le monde de la sécurité
- les contacts standard (security@...)
- le support technique
- le service commercial
Dans les deux premiers cas (voire le troisième), on peut espérer être
bien reçu et ne pas se faire ignorer ou bouler avec menace de
procès/blablabla à la clé.
La question qui se pose est le choix, dans le cas ou un patch n'est pas
publié rapidement, de dévoiler ou pas la faille
Le choix me semble dificile à trancher.
Il me reste aussi à définir le "rapidement"
:)
Bienvenue dans le formidable problème de la divulgation de
vulnérabilités. Entre le schéma de divulgation que l'on estime
personnellement idéal, les contraintes liées aux engagements
contractuels, les menaces sur sa petite privée (qui veut se taper un
procès pour avoir sorti une faille ?), les choix sont parfois difficiles.
Toutefois, pas mal de monde a déjà réfléchi au problème (tu trouveras
une littérature conséquente via Google). Grosso modo, la version
de R.F.P est un bon consensus, même si les délais relatifs à à la
réalisation du patch peuvent être considérés comme faibles :
http://www.wiretrip.net/rfp/policy.html
D'autre part, une autre question m'interroge : quelle serait la valeur
d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est
par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans
doute nulle
Je ne pense pas. Il faut voir les détails de la faille, mais il est tout
à fait possible d'indiquer une faille sans donner trop de détails, afin
de réveiller l'éditeur et de le forcer à réagir. Mais bon, là, c'est
du cas par cas. Sinon, tu peux toujours t'appuyer sur les CERTA/CERT-IST.
On Sat, 23 Oct 2004 14:38:34 +0000, Thierry F. wrote:
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au courant de la faille (telephone hotline + email).(4 jours).
Bon, ben ça fait au moins une piste en moins à creuser :(
D'ailleurs je m'interroge sur la confiance à accorder à une hotline délocalisée, dans un soucis d'économie sans doute, vis à vis d'informations sensibles (Bon, après tout, si le vendeur fait confiance...).
Dans l'idéal, si on veut passer en direct auprès du vendeur/éditeur, il vaut mieux y contacter (dans l'ordre) :
- quelqu'un que l'on connait personnellement - quelqu'un qui y est actif dans le monde de la sécurité - les contacts standard () - le support technique - le service commercial
Dans les deux premiers cas (voire le troisième), on peut espérer être bien reçu et ne pas se faire ignorer ou bouler avec menace de procès/blablabla à la clé.
La question qui se pose est le choix, dans le cas ou un patch n'est pas publié rapidement, de dévoiler ou pas la faille
Le choix me semble dificile à trancher.
Il me reste aussi à définir le "rapidement"
:)
Bienvenue dans le formidable problème de la divulgation de vulnérabilités. Entre le schéma de divulgation que l'on estime personnellement idéal, les contraintes liées aux engagements contractuels, les menaces sur sa petite privée (qui veut se taper un procès pour avoir sorti une faille ?), les choix sont parfois difficiles.
Toutefois, pas mal de monde a déjà réfléchi au problème (tu trouveras une littérature conséquente via Google). Grosso modo, la version de R.F.P est un bon consensus, même si les délais relatifs à à la réalisation du patch peuvent être considérés comme faibles :
http://www.wiretrip.net/rfp/policy.html
D'autre part, une autre question m'interroge : quelle serait la valeur d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans doute nulle
Je ne pense pas. Il faut voir les détails de la faille, mais il est tout à fait possible d'indiquer une faille sans donner trop de détails, afin de réveiller l'éditeur et de le forcer à réagir. Mais bon, là, c'est du cas par cas. Sinon, tu peux toujours t'appuyer sur les CERTA/CERT-IST.
Très bonne chance ...
Nicob
naphtaline2001
plutôt que de parler de loi et de procédure faut voir ça avec ta concience ! la première chose que je ferait c'est tout simplement avertir l'auteur du logiciel puis si il ne réagit pas (il est trop con pour comprendre qu"il peut se tromper ) tu peut l'envoyer se faire foutre et tout publier ainsi que la solution au probleme si tu la lol ! Parce que moi ca me plairait pas trop de me faire pirater à cause d'une faille que quelqu'un découvre et balance sur le net donc je ne le ferais pas ! mais si t un en**** tu gêe pas lol
plutôt que de parler de loi et de procédure faut voir ça avec ta concience !
la première chose que je ferait c'est tout simplement avertir l'auteur du
logiciel puis si il ne réagit pas (il est trop con pour comprendre qu"il
peut se tromper ) tu peut l'envoyer se faire foutre et tout publier ainsi
que la solution au probleme si tu la lol ! Parce que moi ca me plairait pas
trop de me faire pirater à cause d'une faille que quelqu'un découvre et
balance sur le net donc je ne le ferais pas ! mais si t un en**** tu gêe pas
lol
plutôt que de parler de loi et de procédure faut voir ça avec ta concience ! la première chose que je ferait c'est tout simplement avertir l'auteur du logiciel puis si il ne réagit pas (il est trop con pour comprendre qu"il peut se tromper ) tu peut l'envoyer se faire foutre et tout publier ainsi que la solution au probleme si tu la lol ! Parce que moi ca me plairait pas trop de me faire pirater à cause d'une faille que quelqu'un découvre et balance sur le net donc je ne le ferais pas ! mais si t un en**** tu gêe pas lol
Eric Razny
plutôt que de parler de loi et de procédure faut voir ça avec ta concience !
Ca c'est bien beau en théorie. Quand tu es seul tu peux te permettre de risquer la taule (ou au moins un procès), c'est moins évident si tu as une famille ou un job qui te plait.
la première chose que je ferait c'est tout simplement avertir l'auteur du logiciel puis si il ne réagit pas (il est trop con pour comprendre qu"il peut se tromper ) tu peut l'envoyer se faire foutre et tout publier ainsi que la solution au probleme si tu la lol !
As tu pris le temps de lire ce qui a déjà été posté ici, sur les mésaventures de certains, et sur les commentaires de la CLEN?
Parce que moi ca me plairait pas trop de me faire pirater à cause d'une faille que quelqu'un découvre et
Je pense que ça ne plairait à pas grand monde...
balance sur le net donc je ne le ferais pas ! mais si t un en**** tu gêe pas lol
c'est le problème des failles non publiées même après qu'un délai raisonnable ait été donné à l'éditeur pour pondre un patch : le risque qu'un tiers découvre la même faille mais s'en serve de façon... désagéable :)
En plubliant (même sans détails précis) on crée certes les conditions favorable à l'émergence d'un exploit mais aussi la possibilité pour les utilisateurs de prendre des mesures prophylactiques.
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
plutôt que de parler de loi et de procédure faut voir ça avec ta concience !
Ca c'est bien beau en théorie.
Quand tu es seul tu peux te permettre de risquer la taule (ou au moins
un procès), c'est moins évident si tu as une famille ou un job qui te plait.
la première chose que je ferait c'est tout simplement avertir l'auteur du
logiciel puis si il ne réagit pas (il est trop con pour comprendre qu"il
peut se tromper ) tu peut l'envoyer se faire foutre et tout publier ainsi
que la solution au probleme si tu la lol !
As tu pris le temps de lire ce qui a déjà été posté ici, sur les
mésaventures de certains, et sur les commentaires de la CLEN?
Parce que moi ca me plairait pas
trop de me faire pirater à cause d'une faille que quelqu'un découvre et
Je pense que ça ne plairait à pas grand monde...
balance sur le net donc je ne le ferais pas ! mais si t un en**** tu gêe pas
lol
c'est le problème des failles non publiées même après qu'un délai
raisonnable ait été donné à l'éditeur pour pondre un patch : le risque
qu'un tiers découvre la même faille mais s'en serve de façon...
désagéable :)
En plubliant (même sans détails précis) on crée certes les conditions
favorable à l'émergence d'un exploit mais aussi la possibilité pour les
utilisateurs de prendre des mesures prophylactiques.
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
plutôt que de parler de loi et de procédure faut voir ça avec ta concience !
Ca c'est bien beau en théorie. Quand tu es seul tu peux te permettre de risquer la taule (ou au moins un procès), c'est moins évident si tu as une famille ou un job qui te plait.
la première chose que je ferait c'est tout simplement avertir l'auteur du logiciel puis si il ne réagit pas (il est trop con pour comprendre qu"il peut se tromper ) tu peut l'envoyer se faire foutre et tout publier ainsi que la solution au probleme si tu la lol !
As tu pris le temps de lire ce qui a déjà été posté ici, sur les mésaventures de certains, et sur les commentaires de la CLEN?
Parce que moi ca me plairait pas trop de me faire pirater à cause d'une faille que quelqu'un découvre et
Je pense que ça ne plairait à pas grand monde...
balance sur le net donc je ne le ferais pas ! mais si t un en**** tu gêe pas lol
c'est le problème des failles non publiées même après qu'un délai raisonnable ait été donné à l'éditeur pour pondre un patch : le risque qu'un tiers découvre la même faille mais s'en serve de façon... désagéable :)
En plubliant (même sans détails précis) on crée certes les conditions favorable à l'émergence d'un exploit mais aussi la possibilité pour les utilisateurs de prendre des mesures prophylactiques.
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Nicob
On Fri, 05 Nov 2004 01:53:24 +0000, Eric Razny wrote:
c'est le problème des failles non publiées même après qu'un délai raisonnable ait été donné à l'éditeur pour pondre un patch : le risque qu'un tiers découvre la même faille mais s'en serve de façon... désagéable :)
De toute façon, croire qu'on est le premier à découvrir telle ou telle faille pour la seule raison qu'elle n'a pas encore été publiée sur Buqtraq et équivalents, c'est faire preuve d'une incroyable fatuité.
Les black-hats, les spammers, les services gouvernementaux, la mafia, tous ces gens ne publieront pas. Or, ce sont eux qui peuvent mettre le plus de ressources sur la recherche de failles ...
Nicob
On Fri, 05 Nov 2004 01:53:24 +0000, Eric Razny wrote:
c'est le problème des failles non publiées même après qu'un délai
raisonnable ait été donné à l'éditeur pour pondre un patch : le risque
qu'un tiers découvre la même faille mais s'en serve de façon...
désagéable :)
De toute façon, croire qu'on est le premier à découvrir telle ou telle
faille pour la seule raison qu'elle n'a pas encore été publiée sur
Buqtraq et équivalents, c'est faire preuve d'une incroyable fatuité.
Les black-hats, les spammers, les services gouvernementaux, la
mafia, tous ces gens ne publieront pas. Or, ce sont eux qui peuvent mettre
le plus de ressources sur la recherche de failles ...
On Fri, 05 Nov 2004 01:53:24 +0000, Eric Razny wrote:
c'est le problème des failles non publiées même après qu'un délai raisonnable ait été donné à l'éditeur pour pondre un patch : le risque qu'un tiers découvre la même faille mais s'en serve de façon... désagéable :)
De toute façon, croire qu'on est le premier à découvrir telle ou telle faille pour la seule raison qu'elle n'a pas encore été publiée sur Buqtraq et équivalents, c'est faire preuve d'une incroyable fatuité.
Les black-hats, les spammers, les services gouvernementaux, la mafia, tous ces gens ne publieront pas. Or, ce sont eux qui peuvent mettre le plus de ressources sur la recherche de failles ...
